JP4615435B2 - Network relay device - Google Patents
Network relay device Download PDFInfo
- Publication number
- JP4615435B2 JP4615435B2 JP2005373031A JP2005373031A JP4615435B2 JP 4615435 B2 JP4615435 B2 JP 4615435B2 JP 2005373031 A JP2005373031 A JP 2005373031A JP 2005373031 A JP2005373031 A JP 2005373031A JP 4615435 B2 JP4615435 B2 JP 4615435B2
- Authority
- JP
- Japan
- Prior art keywords
- multicast
- network
- communication terminal
- authentication
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、異なるネットワークを相互接続するネットワーク中継装置に関するものであり、特に、一方のネットワークに接続される通信端末がマルチキャストによる通信を行う際のセキュリティを強化するネットワーク中継装置に関するものである。 The present invention relates to a network relay device that interconnects different networks, and more particularly to a network relay device that enhances security when a communication terminal connected to one network performs multicast communication.
ネットワーク中継装置であるゲートウェイ装置は、たとえば、家庭に構築されたLAN(Local Area Network)とインターネット接続業者が構築するネットワーク、オフィス内に構築されたLANと企業幹線網など、LANとWAN(Wide Area Network)とを接続する目的で利用されている。 A gateway device that is a network relay device includes, for example, a LAN (Local Area Network) built in a home and a network built by an Internet service provider, a LAN built in an office, a corporate trunk network, and the like. Network).
一般的に、ゲートウェイ装置は、IP(Internet Protocol)パケット内の宛先アドレスに基づいてIPパケットを転送するルータ機能に加え、LAN側に接続される通信装置におけるIPアドレス設定を簡易化するためにIPアドレスを自動的に払い出すDHCP(Dynamic Host Configuration Protocol)サーバ機能や、IPアドレス資源を効率的に使用するためにLAN側に接続された通信装置が使用するプライベートIPアドレスとWAN側で使用するグローバルIPアドレスとを変換するNAT(Network Address Translation)機能などを備えている。 Generally, a gateway device uses an IP to simplify IP address setting in a communication device connected to a LAN side, in addition to a router function that transfers an IP packet based on a destination address in an IP (Internet Protocol) packet. DHCP (Dynamic Host Configuration Protocol) server function for automatically issuing addresses, private IP addresses used by communication devices connected to the LAN side to use IP address resources efficiently, and globals used on the WAN side A NAT (Network Address Translation) function for converting IP addresses is provided.
また、ゲートウェイ装置は、TCP/IP(Transmission Control Protocol/Internet Protocol)通信において、LAN側の通信装置とWAN側の通信装置とが用いる制御用プロトコルのメッセージを中継するためのDNS(Domain Name System)やIGMP(
Internet Group Management Protocol)などのプロキシ機能を備えている。
The gateway device also has a DNS (Domain Name System) for relaying control protocol messages used by the LAN-side communication device and the WAN-side communication device in TCP / IP (Transmission Control Protocol / Internet Protocol) communication. And IGMP (
It has a proxy function such as Internet Group Management Protocol.
一方、ゲートウェイ装置に接続されるWANは、物理的な接続形態とは独立に仮想的なグループを設定し、接続する通信端末の物理的な位置を意識することなくネットワークを構成するVLAN(Virtual Local Area Network)によって構成されることが多い。そのため、従来から、VLANに対応するゲートウェイ装置に関する種々の技術が考えられている。 On the other hand, the WAN connected to the gateway device sets a virtual group independent of the physical connection form, and configures a VLAN (Virtual Local) that configures the network without being aware of the physical location of the connected communication terminal. Area network). For this reason, various techniques related to a gateway device corresponding to a VLAN have been conventionally considered.
たとえば、特許文献1には、ユーザの認証結果に応じて特定のVLANとユーザが利用する通信端末とを接続させる制御機能を有したゲートウェイ装置に関する技術が開示されている。具体的には、認証情報送受信手段が、ユーザを認証するための認証情報を通信端末から受信し、認証要求手段が、認証情報送受信手段によって受信された認証情報に応じて認証ネットワークある認証サーバに認証要求を行い、認証応答手段が、認証サーバから認証の要求に対する応答を表す認証応答情報を受信し、認証応答手段によって受信された認証応答情報が認証の成功を示す場合に、ユーザ認可手段が、ユーザと対応する仮想ネットワークを識別するための仮想ネットワーク識別情報に従って仮想ネットワークとユーザが利用する通信端末とを接続する。すなわち、ゲートウェイ装置は、複数のLAN側の通信端末が、通信端末毎に論理的に分離された異なるWANに認証を得た上で接続するようにしている。
For example,
これにより、LAN側においては全ての通信端末が同一のネットワークに属しながら、これらのLAN側の通信端末は認証された場合にはそれぞれ異なるWANに接続することができる。換言すれば、WANに接続するための認証されていないLAN側の通信端末は、そのWANに接続することができない。したがって、LAN側の通信端末は、LANに接続されたプリンタのような機器を共用することができ、かつ通信端末毎に異なるサービスを提供するWANに認証を経た上で接続することができる。 Thus, all communication terminals on the LAN side belong to the same network, but these LAN side communication terminals can be connected to different WANs when authenticated. In other words, an unauthenticated LAN-side communication terminal for connecting to a WAN cannot connect to the WAN. Therefore, the communication terminal on the LAN side can share a device such as a printer connected to the LAN, and can connect to a WAN that provides different services for each communication terminal after authentication.
また、異なるWANにおいて重複したIPアドレスが使用される場合でも、認証されたLAN側の通信装置は、目的とするWANにのみ接続することができるという副次的な効果もある。 In addition, even when duplicate IP addresses are used in different WANs, there is a secondary effect that the authenticated communication device on the LAN side can be connected only to the target WAN.
しかしながら、上記特許文献1に記載の従来のゲートウェイ装置は、LAN側の通信端末を認証してそれぞれ異なるWANに接続した後のIPパケットの中継する際に、WAN側からのIPマルチキャストトラフィックの転送に関して、いくつかの問題を含んでいる。
However, the conventional gateway device described in
通常のIPマルチキャスト転送機能を備えるゲートウェイ装置は、WAN側からのIPマルチキャストトラフィックをLAN側の全通信端末が受信可能な形態で転送する。そのため、LAN側の通信端末は、接続していないWANからのマルチキャストトラフィックを受信してしまう。 A gateway device having a normal IP multicast transfer function transfers IP multicast traffic from the WAN side in a form that can be received by all communication terminals on the LAN side. For this reason, the communication terminal on the LAN side receives multicast traffic from the WAN that is not connected.
上記特許文献1には、マルチキャストトラフィックの転送に関する技術は開示されていない。上記特許文献1に記載のゲートウェイ装置が通常のIPマルチキャスト転送機能によってマルチキャストトラフィックを転送する場合、LAN側の通信端末が特定のWANのみに接続することを認証していても、WAN側からのマルチキャストトラフィックに関しては、接続認証を経ていないWANからのマルチキャストトラフィックをLAN側の通信端末に送信する。これにより、LAN側の通信端末は、接続認証されていないWANからのマルチキャストトラフィックを受信可能となる。すなわち、上記特許文献1に記載の従来技術では、WAN側からのマルチキャストトラフィックに対しては、認証結果を考慮することができず、認証機能を十分に生かしてセキュリティを向上することができないという問題があった。
また、従来のゲートウェイ装置は、複数のWANからのマルチキャストトラフィックをLAN側の全通信端末が受信可能な形態で転送するため、LAN側の通信端末がマルチキャストトラフィックを誤って受信することがあるという通信システム上の問題があった。たとえば、ゲートウェイ装置が接続する複数のWANを介してインターネットのような同一のネットワークに接続されている場合に、ネットワーク上のマルチキャスト配信装置からのマルチキャストトラフィックが、複数のWANを経由してゲートウェイ装置に入力されると、重複したマルチキャストトラフィックがLAN側の通信端末に転送されることとなり、LAN側の通信端末が同一のマルチキャストトラフィックを重複して受信することとなってしまう場合がある。 Further, since the conventional gateway device transfers multicast traffic from a plurality of WANs in a form that can be received by all communication terminals on the LAN side, the communication terminal on the LAN side may receive the multicast traffic by mistake. There was a system problem. For example, when the gateway device is connected to the same network such as the Internet via a plurality of WANs to which the gateway device is connected, multicast traffic from the multicast distribution device on the network is transmitted to the gateway device via the plurality of WANs. When input, duplicate multicast traffic is transferred to the communication terminal on the LAN side, and the communication terminal on the LAN side may receive the same multicast traffic in duplicate.
さらに、従来のゲートウェイ装置がWAN側からのIPマルチキャストトラフィックをLAN側の全通信端末が受信可能な形態で転送ため、LANにおけるIPマルチキャストトラフィックが不要に増大して、通信システムとしての性能を低下させるという問題もあった。 Furthermore, since the conventional gateway device transfers the IP multicast traffic from the WAN side in a form that can be received by all communication terminals on the LAN side, the IP multicast traffic in the LAN is unnecessarily increased and the performance as a communication system is degraded. There was also a problem.
本発明は、上記に鑑みてなされたものであって、マルチキャストグループに参加している通信端末に対して、当該通信端末と接続が認証されたネットワークからのマルチキャストのIPパケットのみを転送するネットワーク中継装置を得ることを目的とする。 The present invention has been made in view of the above, and to a communication terminal participating in a multicast group, forwards only a multicast IP packet from a network whose connection is authenticated with the communication terminal. The object is to obtain a device.
上述した課題を解決し、目的を達成するために、本発明は、1若しくは複数の通信端末が接続される第1のネットワークと、複数の仮想ネットワークが構築される第2のネットワークとの間に配置され、前記通信端末が前記複数の仮想ネットワークの少なくとも1つへ接続を認証する認証処理部を有し、この認証処理部によって認証された場合のみ、前記通信端末を前記仮想ネットワークに接続してIPパケットを転送するネットワーク中継装置において、前記通信端末に対応付けて、前記認証処理部によって接続が認証された仮想ネットワークが登録される認証情報テーブルと、前記IPパケットの受信インタフェースに対応付けて前記受信インタフェースが収容する仮想ネットワークが登録されるインタフェーステーブルと、前記仮想ネットワークおよびマルチキャストグループに対応付けて、当該仮想ネットワークにおいて当該マルチキャストグループの物理的、または論理的なインタフェースが登録されるマルチキャストルーティングテーブルと、前記仮想ネットワークおよび宛先IPプリフィックスに対応付けて、当該仮想ネットワークにおいて当該宛先IPプリフィックスの物理的、または論理的なインタフェースが登録されるルーティングテーブルと、前記中継すべきIPパケットがマルチキャストのIPパケットの場合には、前記認証情報テーブルおよび前記マルチキャストルーティングテーブルを用いてIPパケットの送信先を選択し、前記中継すべきIPパケットがマルチキャストとは異なるIPパケットの場合には、前記インタフェーステーブルおよび前記ルーティングテーブルを用いてIPパケットの送信先を選択し、選択した送信先にIPパケットを送信するルーティング処理部と、を備えることを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a network between a first network to which one or more communication terminals are connected and a second network in which a plurality of virtual networks are constructed. Arranged, and the communication terminal has an authentication processing unit for authenticating connection to at least one of the plurality of virtual networks, and the communication terminal is connected to the virtual network only when authenticated by the authentication processing unit. In the network relay device for transferring an IP packet, an authentication information table in which a virtual network whose connection is authenticated by the authentication processing unit is registered in association with the communication terminal, and the reception interface of the IP packet is associated with the communication interface. An interface table in which a virtual network accommodated by the receiving interface is registered; and the virtual network A multicast routing table in which physical or logical interfaces of the multicast group are registered in the virtual network in association with the network and the multicast group, and in the virtual network in association with the virtual network and the destination IP prefix. When the physical or logical interface of the destination IP prefix is registered, and when the IP packet to be relayed is a multicast IP packet, the authentication information table and the multicast routing table are used for IP. When a packet transmission destination is selected and the IP packet to be relayed is an IP packet different from multicast, the interface table and the Select the destination of IP packets with computing table, characterized in that it comprises a routing processing unit that transmits the IP packet to the selected destination.
この発明によれば、通信端末との接続が認証された仮想ネットワークおよびマルチキャストグループとに対応付けて、当該仮想ネットワークにおいて当該マルチキャストグループの物理的、または論理的なインタフェースが登録されるマルチキャストルーティングテーブルを備え、複数の仮想ネットワークが構築されるネットワークからのマルチキャストのIPパケットを転送する場合、マルチキャストのIPアドレスを受信した仮想ネットワーク、マルチキャストのIPパケットのマルチキャストグループアドレス、およびマルチキャストルーティングテーブルに基づいてマルチキャストのIPパケットの送信先を選択するようにしているため、マルチキャストグループに参加している通信端末に対して、当該通信端末と接続が認証されたネットワークからのマルチキャストのIPパケットのみを転送することを可能にし、通信システムのセキュリティを向上することができるネットワーク中継装置を得ることができるという効果を奏する。 According to the present invention, the multicast routing table in which the physical or logical interface of the multicast group is registered in the virtual network in association with the virtual network and multicast group whose connection with the communication terminal is authenticated. In the case of forwarding a multicast IP packet from a network in which a plurality of virtual networks are constructed, a multicast network based on the virtual network that has received the multicast IP address, the multicast group address of the multicast IP packet, and the multicast routing table Since the destination of the IP packet is selected, the connection with the communication terminal is authenticated for the communication terminal participating in the multicast group. Make it possible to transfer only multicast IP packets from Ttowaku, it is possible to improve the security of the communication system is an effect that it is possible to obtain a network relay device.
以下に、本発明にかかるネットワーク中継装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Embodiments of a network relay device according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
実施の形態1.
図1〜図12を参照してこの発明の実施の形態1を説明する。図1は、この発明における実施の形態1のネットワーク中継装置であるゲートウェイ装置の構成、およびゲートウェイ装置が適用される通信システムの構成を示す図である。図1において、通信システムは、1若しくは複数(この場合は3台)の通信端末31−1〜31−3を有するLAN(Local Area Network)3と、複数(この場合は3つ)のVLAN(Virtual Local Area Network)51−1〜51−3が構築されているWAN(Wide Area Network)5と、LAN3とWAN5との間に配置され、LAN3内の通信端末31−1〜31−3のVLAN51−1〜51−3へのアクセス認証、およびアクセス認証した通信端末31−1〜31−3とVLAN51−1〜51−3とのIP(Internet Protocol)パケットを転送するゲートウェイ装置1を備えている。
A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a diagram showing a configuration of a gateway device that is a network relay device according to
通信端末31−1〜31−3は、たとえば、パーソナルコンピュータやIP(Internet Protocol)電話、TV放送受信機などの通信機器であり、LAN3のネットワークインタフェース機能、およびTCP/IP(Transmission Control Protocol/Internet Protocol)に基づいた通信機能を備え、ゲートウェイ装置1を介してVLAN51−1〜51−3と接続して、VLAN51−1〜51−3に接続される図示していない通信端末やサーバなどと相互通信を行う。
The communication terminals 31-1 to 31-3 are, for example, communication devices such as personal computers, IP (Internet Protocol) telephones, TV broadcast receivers, and the like, network interface functions of the
通信端末31−1〜31−3とゲートウェイ装置1との間の通信、すなわちLAN3側における通信は、一般的な、TCP/IPに基づいたIPパケットを含むイーサネット(登録商標)で用いられるイーサネット(登録商標)フレーム(以下、レイヤ2フレームとする)が用いられる。具体的には、レイヤ2フレームは、宛先MACアドレス、送信元MACアドレス、およびデータ長を有するMACヘッダと、バージョン、インターネットヘッダ長、サービスタイプ、トータル長、識別子、フラグ、フラグメント・オフセット、プロトコルタイプ、ヘッダ・チェックサム、送信元IPアドレス、および宛先IPアドレスを有するIPヘッダと、データとで構成される。
Communication between the communication terminals 31-1 to 31-3 and the
VLAN51−1〜51−3は、通信端末31−1〜31−3が接続する物理的、若しくは論理的なネットワーク(仮想ネットワーク)である。以下、VLAN51−1〜51−3は、IEEE(Institute of Electrical and Electronic Engineers)802.1Qによって規定されるVLANであることを前提として説明するが、ゲートウェイ装置1が選択的に通信可能なネットワークであれば、たとえば、MPLS(Multi-Protocol Label Switching)におけるLSP(Label Switched Path)や、PPP(Point-to-Point Protocol)コネクションなどであってもかまわない。
The VLANs 51-1 to 51-3 are physical or logical networks (virtual networks) to which the communication terminals 31-1 to 31-3 are connected. Hereinafter, VLANs 51-1 to 51-3 will be described on the premise that they are VLANs defined by IEEE (Institute of Electrical and Electronic Engineers) 802.1Q. However, the
VLAN51−1〜51−3とゲートウェイ装置1との間の通信、すなわち、WAN3側における通信は、一般的な、TCP/IPに基づいたIPパケットを含むVLANタグ付きのイーサネット(登録商標)フレーム(以下、タグ付きレイヤ2フレームとする)が用いられるものとする。また。タグ付きレイヤ2フレームは、上述したレイヤ2フレームのMACヘッダの送信元MACアドレスとデータ長との間に、VLAN識別子を含むVLANに関する情報が設定されるVLANタグを有している。
Communication between the VLANs 51-1 to 51-3 and the
ゲートウェイ装置1は、認証処理部11、IGMP(Internet Group Management Protocol)プロキシ処理部12、ルーティング処理部13、記憶部14、および複数(この場合は4つ)のポート15−1〜15−4を備えている。
The
ポート15−1〜15−4は、通信端末31−1〜31−3が接続されるLAN3のネットワークインタフェース、およびVLAN51−1〜51−3のネットワークインタフェースの機能を備えている。図1においては、ポート15−1が通信端末31−1を収容し、ポート15−2が通信端末31−2を収容し、ポート15−3が通信端末31−3を収容し、ポート15−4がVLAN51−1〜51−3を収容している。ここでは、LAN3およびVLAN51−1〜51−3のネットワークインタフェースをイーサネット(登録商標)とするがこれに限るものではない。また、ネットワークインタフェースは、有線であっても、無線であってもよく、その通信速度も特に制限するものではない。
The ports 15-1 to 15-4 have functions of a network interface of the
記憶部14は、ゲートウェイ装置1がIPパケットを転送するために必要な情報を記憶する。図1においては、接続情報テーブル141、認証情報テーブル142、マルチキャスト参加状態情報テーブル143、マルチキャストルーティングテーブル144、ルーティングテーブル145、インタフェーステーブル146、およびポートテーブル147を記憶する。
The
接続情報テーブル141には、通信端末31−1〜31−3を利用するユーザおよび通信端末31−1〜31−3のアクセス認証に必要な情報が登録される。図2は、接続情報テーブル141に対する登録項目を示すものであり、ここでは登録項目として、ユーザ名およびパスワードを挙げている。ユーザ名には、通信端末31−1〜31−3を利用するユーザを識別するためのユーザ識別子が登録される。パスワードはユーザ名に対応付けられており、ユーザ名に登録されたユーザ識別子を認証するためのパスワードが登録される。 In the connection information table 141, information necessary for access authentication of the user who uses the communication terminals 31-1 to 31-3 and the communication terminals 31-1 to 31-3 is registered. FIG. 2 shows registration items for the connection information table 141. In this example, user names and passwords are listed as the registration items. In the user name, a user identifier for identifying a user who uses the communication terminals 31-1 to 31-3 is registered. The password is associated with the user name, and a password for authenticating the user identifier registered in the user name is registered.
認証情報テーブル142には、認証されたユーザが利用する通信端末31−1〜31−3が接続するネットワークを識別するために必要な情報が登録される。図3は、認証情報テーブル142に対する登録項目を示すものであり、ここでは登録項目として、端末情報およびVLAN情報を挙げている。端末情報には、通信端末31−1〜31−3を識別するための端末識別子が登録される。端末識別子としては、通信端末31−1〜31−3のIPアドレスやMACアドレス、通信端末31−1〜31−3を収容するポート15−1〜15−3に付与されているポート識別子などが用いられる。VLAN情報は端末情報に対応付けられており、端末情報に登録された端末識別子を有する通信端末31−1〜31−3が接続するネットワークであるVLAN51−1〜51−3を識別するためのネットワーク識別子であるVLAN識別子が登録される。 In the authentication information table 142, information necessary for identifying a network to which the communication terminals 31-1 to 31-3 used by the authenticated user are connected is registered. FIG. 3 shows registration items for the authentication information table 142. Here, terminal information and VLAN information are listed as the registration items. In the terminal information, terminal identifiers for identifying the communication terminals 31-1 to 31-3 are registered. Examples of the terminal identifier include IP addresses and MAC addresses of the communication terminals 31-1 to 31-3, port identifiers assigned to the ports 15-1 to 15-3 that accommodate the communication terminals 31-1 to 31-3, and the like. Used. The VLAN information is associated with the terminal information, and a network for identifying the VLANs 51-1 to 51-3, which are the networks to which the communication terminals 31-1 to 31-3 having the terminal identifier registered in the terminal information are connected. A VLAN identifier which is an identifier is registered.
マルチキャスト参加状態情報テーブル143には、通信端末31−1〜31−3が参加するマルチキャストグループの情報が登録される。図4は、マルチキャスト参加状態情報テーブル143に対する登録項目を示すものであり、ここでは登録項目として、端末情報および宛先マルチキャストグループ情報を挙げている。端末情報には、通信端末31−1−1〜31−3を識別するための端末識別子が登録さる。宛先マルチキャストグループ情報は端末情報に対応付けられており、端末情報に登録された端末識別子を有する通信端末31−1〜31−3が参加するマルチキャストグループを識別するためのマルチキャストグループ識別子が登録される。ここでは、マルチキャストグループ識別子として、マルチキャストグループアドレスを用いている。 In the multicast participation state information table 143, information on multicast groups in which the communication terminals 31-1 to 31-3 participate is registered. FIG. 4 shows registration items for the multicast participation state information table 143. Here, terminal information and destination multicast group information are listed as the registration items. In the terminal information, a terminal identifier for identifying the communication terminals 31-1-1-1 to 31-3 is registered. The destination multicast group information is associated with the terminal information, and the multicast group identifier for identifying the multicast group in which the communication terminals 31-1 to 31-3 having the terminal identifier registered in the terminal information participate is registered. . Here, a multicast group address is used as the multicast group identifier.
インタフェーステーブル146は、図5に示すように、IPパケットの受信インタフェースとネットワーク情報との対応付けが登録される。図5は、図1に示したWAN5側の物理的もしくは論理的なネットワークがVLAN51−1〜51−3の場合であり、受信インタフェースおよびネットワーク情報には、VLAN51−1〜51−3のVLAN識別子が登録されている。 In the interface table 146, as shown in FIG. 5, the correspondence between the IP packet reception interface and the network information is registered. FIG. 5 shows a case where the physical or logical network on the WAN 5 side shown in FIG. 1 is VLANs 51-1 to 51-3. The reception interface and network information include VLAN identifiers of VLANs 51-1 to 51-3. Is registered.
マルチキャストルーティングテーブル144には、マルチキャストのIPパケットを転送する際のルーティング処理に必要な情報が登録される。図6は、マルチキャストルーティングテーブル144に対する登録項目を示すものであり、ここでは登録項目として、VLAN情報と、宛先マルチキャストグループ情報と、ルート情報とを挙げている。VLAN情報には、VLAN51−1〜51−3を識別するためのVLAN識別子が登録される。宛先マルチキャストグループ情報には、転送すべきIPパケットがどのマルチキャストグループのIPパケットであるかを識別するためのマルチキャストグループ識別子が登録される。図6においては、マルチキャストグループ識別子として、マルチキャストグループアドレスを用いている。ルート情報はVLAN情報および宛先マルチキャストグループ情報に対応付けられており、VLAN情報に登録されたVLAN識別子が示すVLANにおいて、宛先マルチキャストグループ情報に登録されたマルチキャストグループ識別子が示すマルチキャストグループの物理的、または論理的なインタフェースが登録される。ここでは、ルート情報として、宛先マルチキャストグループ情報に登録されたマルチキャストグループアドレスが示すマルチキャストグループに参加している通信端末31−1〜31−3を識別するための端末識別子が登録されている。 The multicast routing table 144 registers information necessary for routing processing when forwarding multicast IP packets. FIG. 6 shows registration items for the multicast routing table 144. Here, VLAN information, destination multicast group information, and route information are listed as the registration items. In the VLAN information, VLAN identifiers for identifying the VLANs 51-1 to 51-3 are registered. In the destination multicast group information, a multicast group identifier for identifying which multicast group is an IP packet to be transferred is registered. In FIG. 6, a multicast group address is used as the multicast group identifier. The route information is associated with the VLAN information and the destination multicast group information, and in the VLAN indicated by the VLAN identifier registered in the VLAN information, the physical of the multicast group indicated by the multicast group identifier registered in the destination multicast group information, or A logical interface is registered. Here, terminal identifiers for identifying the communication terminals 31-1 to 31-3 participating in the multicast group indicated by the multicast group address registered in the destination multicast group information are registered as route information.
ルーティングテーブル145には、マルチキャストのIPパケットとは異なるIPパケットを転送する際のルーティング処理に必要な情報が登録される。図7は、ルーティングテーブル145に対する登録項目を示すものであり、ここでは登録項目として、VLAN情報と、宛先IPプリフィックス情報と、ルート情報とが挙げられている。VALN情報には、IPパケットを送信するVLAN51−1〜VLAN51−3を識別するためのVLAN識別子が登録される。宛先IPプリフィックス情報には、IPパケットの宛先IPプリフィックスが登録される。ルート情報はVLAN情報および宛先IPプリフィックス情報に対応付けられており、VLAN情報に登録されているVLAN識別子が示すVLAN51−1〜51−3において、宛先IPプリフィックス情報に登録されている宛先IPプリフィックスが示す物理的、または論理的なインタフェースが登録される。ここでは、ルート情報として、VLAN識別子や通信端末31−1〜31−3のMACアドレス、通信端末31−1〜31−3を収容するポート識別子などを用いている。 In the routing table 145, information necessary for routing processing when an IP packet different from the multicast IP packet is transferred is registered. FIG. 7 shows registration items for the routing table 145. In this example, VLAN information, destination IP prefix information, and route information are listed as the registration items. In the VALN information, VLAN identifiers for identifying the VLANs 51-1 to 51-3 that transmit IP packets are registered. In the destination IP prefix information, the destination IP prefix of the IP packet is registered. The route information is associated with the VLAN information and the destination IP prefix information. In the VLANs 51-1 to 51-3 indicated by the VLAN identifiers registered in the VLAN information, the destination IP prefix registered in the destination IP prefix information is The indicated physical or logical interface is registered. Here, VLAN identifiers, MAC addresses of the communication terminals 31-1 to 31-3, port identifiers that accommodate the communication terminals 31-1 to 31-3, and the like are used as route information.
ポートテーブル情報には、IPパケットを出力するポート15−1〜15−3を選択するために必要な情報が登録される。図8は、ポートテーブル147に対する登録項目を示すものであり、ここでは登録項目として、ポート情報および接続情報が登録される。ポート情報には、ポート15−1〜15−4を識別するためのポート識別子が登録される。接続情報はポート情報に対応付けられており、ポート情報に登録されたポート識別子が示すポート15−1〜15−4が収容する通信端末31−1〜31−3を識別するための端末識別子や、VLAN51−1〜51−3を識別するためのVLAN識別子が登録される。 In the port table information, information necessary for selecting the ports 15-1 to 15-3 that output IP packets is registered. FIG. 8 shows registration items for the port table 147. Here, port information and connection information are registered as the registration items. In the port information, port identifiers for identifying the ports 15-1 to 15-4 are registered. The connection information is associated with the port information, and terminal identifiers for identifying the communication terminals 31-1 to 31-3 accommodated by the ports 15-1 to 15-4 indicated by the port identifiers registered in the port information , VLAN identifiers for identifying the VLANs 51-1 to 51-3 are registered.
認証処理部11は、通信端末31−1〜31−3から受信した認証要求のレイヤ2フレーム(以下、認証要求フレームとする)および離脱要求のレイヤ2フレーム(以下、離脱要求フレームとする)と、接続情報テーブル141とに基づいて、通信端末31−1〜31−3がVLAN51−1〜51−3への接続を認証するアクセス認証処理を行うとともに、認証情報テーブル142の登録および抹消処理を行う。
The authentication processing unit 11 includes an
IGMPプロキシ処理部12は、一般的なIGMPプロキシの機能に加え、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144を管理する機能を備えている。具体的には、IGMPプロキシ処理部12は、LAN3に対しては、通信端末31−1〜31−3との間でIGMP通信を行って、通信端末31−1〜31−3が参加するマルチキャストグループの情報を収集し、収集した情報に基づいてマルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の登録および更新処理を行う。また、WAN5側に対してはVLAN51−1〜51−3において独立したIGMPホストとしての処理を行う。
The IGMP
ルーティング処理部13は、認証情報テーブル142、マルチキャストルーティングテーブル144、ルーティングテーブル145、インタフェーステーブル146、およびポートテーブル147に基づいてIPパケットの転送先を選択してIPパケットを転送する。
The
なお、図1に示したゲートウェイ装置1は、本発明に関わる構成要素のみを記載しており、実際には、たとえば、ファイアウォール機能、DNS(Domain Name System)プロキシ機能、DHCP(Dynamic Host Configuration Protocol)サーバ機能、DHCPクライアント機能、NAT(Network Address Translation)機能など、一般的なゲートウェイ装置の機能を備えていてもかまわない。
Note that the
また、WAN5を構成するネットワークが、MPLSにおけるLSPやPPPコネクションなどである場合、当該する論理ネットワークにおける通信に必要な機能を備える必要があるが、これらの機能は、一般的な論理ネットワークにおける通信に必要とされる機能であり、本発明に関わる機能ではないためここではその説明を省略する。 In addition, when the network constituting the WAN 5 is an LSP or PPP connection in MPLS, it is necessary to provide functions necessary for communication in the relevant logical network. These functions are used for communication in a general logical network. Since this is a required function and not a function related to the present invention, its description is omitted here.
つぎに、図1〜図12を参照してこの発明におけるゲートウェイ装置1の動作を説明する。まず、図9のフローチャートを参照して、認証情報テーブル142の登録処理を含む認証処理の動作について説明する。通信端末31−1〜31−1を用いて通信を行なう際に、ユーザは、予め付与されたユーザ名およびパスワードなどを入力して接続処理を行う。通信端末31−1〜31−3は、入力されたユーザ名、パスワード、予め付与されている端末識別子およびVLAN識別子を含む認証要求フレームをゲートウェイ装置1に送信する。
Next, the operation of the
ゲートウェイ装置1の認証処理部11は、ポート15−1〜15−3を介して認証要求フレームを受信すると(ステップS100)、認証要求フレームからユーザ名およびパスワードを抽出する(ステップS101)。認証処理部11は、抽出したユーザ名およびパスワードを検索キーとして接続テーブルを検索する(ステップS102)。
When receiving the authentication request frame via the ports 15-1 to 15-3 (step S100), the authentication processing unit 11 of the
検索キーと一致するユーザ名およびパスワードを検出した場合(ステップS103,Yes)、認証処理部11は、認証要求フレームから端末識別子およびLVAN識別子を抽出する(ステップS104)。認証処理部11は、抽出した端末識別子およびVLAN識別子を認証情報テーブル142に登録する(ステップS105)。認証処理部11は、接続を認証したことを示す認証処理結果を含むレイヤ2フレームを通信端末31−1に送信して認証処理を終了する(ステップS106)。
When the user name and password that match the search key are detected (step S103, Yes), the authentication processing unit 11 extracts the terminal identifier and the LVAN identifier from the authentication request frame (step S104). The authentication processing unit 11 registers the extracted terminal identifier and VLAN identifier in the authentication information table 142 (step S105). The authentication processing unit 11 transmits a
一方、検索キーと一致するユーザ名およびパスワードを検出できなかった場合(ステップS103,No)、接続不可であることを示す認証処理結果を含むレイヤ2フレームを通信端末31−1に送信して認証処理を終了する(ステップS107)。
On the other hand, when the user name and password that match the search key cannot be detected (No in step S103), a
この認証処理によって認証を受け、認証情報テーブル142に登録された通信端末31−1〜31−3のみが、認証情報テーブル142に登録されたVLAN51−1〜51−3への接続が可能となる。 Only the communication terminals 31-1 to 31-3 that have been authenticated by this authentication process and registered in the authentication information table 142 can connect to the VLANs 51-1 to 51-3 registered in the authentication information table 142. .
なお、認証に用いる接続情報テーブル141は、ゲートウェイ装置1とは異なる認証サーバに備えるようにしてもよい。この場合、ゲートウェイ装置1は、認証サーバとの通信手段および認証サーバ内の接続情報テーブル141を参照する機能を備えるようにすればよい。認証サーバとの通信手段は、一般的には、RADIUS(Remote Authentication Dial In User Service)などが用いられるが、本発明においては、どのようなものであってもかまわない。
Note that the connection information table 141 used for authentication may be provided in an authentication server different from the
また、認証要求フレーム内にVLAN識別子を含めるようにしたが、通信端末31−1〜31−3が接続するVLAN51−1〜51−3が1つである場合には、認証要求フレーム内にVLAN識別子を含めなくてもかまわない。この場合、通信端末31−1〜31−3の端末識別子と当該通信端末31−1〜31−3が接続するVLAN51−1〜51−3を示すVLAN識別子とを対応付けたテーブルをゲートウェイ装置1の記憶部14に記憶しておき、認証要求フレーム内の端末識別子に基づいてテーブルを検索してVLAN識別子を選択するようにすればよい。
In addition, the VLAN identifier is included in the authentication request frame. However, when there is one VLAN 51-1 to 51-3 connected to the communication terminals 31-1 to 31-3, the VLAN is included in the authentication request frame. You do not have to include the identifier. In this case, a table in which the terminal identifiers of the communication terminals 31-1 to 31-3 and the VLAN identifiers indicating the VLANs 51-1 to 51-3 to which the communication terminals 31-1 to 31-3 are connected is associated with the
つぎに、認証情報テーブル142の抹消処理の動作について説明する。通信を終了する際に、通信端末31−1〜31−3は、端末識別子を含む離脱要求フレームをゲートウェイ装置1に送信する。
Next, an operation for deleting the authentication information table 142 will be described. When terminating the communication, the communication terminals 31-1 to 31-3 transmit a leave request frame including a terminal identifier to the
ゲートウェイ装置1の認証処理部11は、ポート15−1〜15−3を介して離脱要求フレームを受信すると、離脱要求フレームから端末識別子を抽出する。認証処理部11は、抽出した端末識別子を検索キーとして認証情報テーブル142の端末情報に登録されている端末識別子を検索し、検索キーと一致する端末識別子を検出する。認証処理部11は、検出した端末識別子を端末情報から削除するとともに、当該端末情報に対応付けてVLAN情報に登録されているVLAN識別子を削除する。
When the authentication processing unit 11 of the
認証処理部11は、認証情報テーブル142から端末識別子およびVLAN識別子を削除した後に、削除した端末識別子およびVLAN識別子を含む抹消指示をIGMPプロキシ処理部12に通知する。IGMPプロキシ処理部12は、抹消指示を受けると後述するマルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を実行する。
After deleting the terminal identifier and the VLAN identifier from the authentication information table 142, the authentication processing unit 11 notifies the IGMP
なお、認証情報テーブル142の抹消処理は、離脱要求フレームの受信以外を契機として実行するようにしてもよい。たとえば、ゲートウェイ装置1の図示しない入力手段から入力される削除指示や、予め定められた所定の時間内に通信が行われなかった場合、通信端末31−1〜31−3とゲートウェイ装置1を接続するケーブルがはずされたことを検出した場合などに実行するようにしてもよい。
Note that the erasure process of the authentication information table 142 may be executed in response to a reception other than the receipt of the withdrawal request frame. For example, when a deletion instruction input from an input unit (not shown) of the
具体的には、ゲートウェイ装置1の図示しない入力手段から入力される削除指示によって認証情報テーブル142の抹消処理を実行する場合、管理者は、入力手段を用いて、認証情報テーブル142から削除する通信端末31−1〜31−3の端末識別子を含む削除指示を入力する。削除指示を受けると、認証処理部11は、削除指示内から端末識別子を抽出して、離脱要求から抽出した端末識別子の代わりに抽出した端末識別子を用いて認証情報テーブル142の抹消処理を実行する。
Specifically, when the deletion process of the authentication information table 142 is executed by a deletion instruction input from an input unit (not shown) of the
また、予め定められた所定の時間内に通信が行われなかった際に認証情報テーブル142の抹消処理を実行する場合、認証処理部11は、認証処理を行った通信端末31−1〜31−3毎に転送するIPパケットを監視する。監視の結果予め定められた所定の時間内に通信が行われなかった通信端末31−1〜31−3を検出した場合、認証処理部11は、離脱要求から抽出した端末識別子の代わりに、検出した通信端末31−1〜31−3の端末識別子を用いて認証情報テーブル142の抹消処理を実行する。 Further, when the deletion process of the authentication information table 142 is executed when communication is not performed within a predetermined time, the authentication processing unit 11 performs communication terminals 31-1 to 31-31 that have performed the authentication process. The IP packet transferred every 3 is monitored. When the communication terminals 31-1 to 31-3 that have not been communicated within a predetermined time as a result of monitoring are detected, the authentication processing unit 11 detects instead of the terminal identifier extracted from the withdrawal request. The deletion process of the authentication information table 142 is executed using the terminal identifiers of the communication terminals 31-1 to 31-3.
また、通信端末31−1〜31−3とゲートウェイ装置1を接続するケーブルがはずされたことを検出して認証譲歩テーブルの抹消処理を実行する場合、認証処理部11は、ポートケーブルのリンクダウンによってポート15−1〜15−3からケーブルがはずされたことを検出し、検出したポート15−1〜15−3に接続されている端末識別子をポートテーブル147から検出する。認証処理部11は、離脱要求から抽出した端末識別子の代わりに、検出した端末識別子を用いて認証情報テーブル142の抹消処理を実行する。
When detecting that the cable connecting the communication terminals 31-1 to 31-3 and the
つぎに、図10のフローチャートを参照して、マルチキャスト参加状態テーブルおよびマルチキャストルーティングテーブル144の登録処理の動作について説明する。ゲートウェイ装置1のIGMPプロキシ処理部12は、IGMP通信として、マルチキャストグループ問い合せ要求(IGMP Query メッセージ)をLAN3側の通信端末31−1〜31−3に送信する。マルチキャストグループ問い合せ要求を受信すると、マルチキャストグループに参加している通信端末31−1〜31−3は、端末識別子および参加しているマルチキャストグループのマルチキャストグループアドレスを含むマルチキャスト参加要求(IGMP Report メッセージ)を送信する。
Next, the operation of the registration process of the multicast participation state table and the multicast routing table 144 will be described with reference to the flowchart of FIG. The IGMP
ゲートウェイ装置1のIGMPプロキシ処理部12は、マルチキャスト参加要求を受信すると(ステップS200)、受信したマルチキャスト参加要求から端末識別子およびマルチキャストグループアドレスを抽出する(ステップS201)。IGMPプロキシ処理部12は、抽出した端末識別子およびマルチキャストグループアドレスの組がマルチキャスト参加状態情報テーブル143に登録済みであるか否かを判定する(ステップS202)。抽出した端末識別子およびマルチキャストグループアドレスの組がマルチキャスト参加情報状態テーブルに登録済みである場合、IGMPプロキシ処理部12は、マルチキャスト参加状態テーブルおよびマルチキャストルーティングテーブル144の登録処理を終了する。
When receiving the multicast participation request (step S200), the IGMP
抽出した端末識別子およびマルチキャストグループアドレスの組がマルチキャスト参加情報状態テーブルに登録に登録されていない場合、IGMPプロキシ処理部12は、抽出した端末識別子およびマルチキャストグループアドレスの組をマルチキャスト参加状態情報テーブル143に登録する(ステップS203)。具体的には、マルチキャスト参加状態情報テーブル143の端末情報に抽出した端末識別子を、宛先マルチキャストグループ情報に抽出したマルチキャストグループアドレスを登録する。
If the pair of the extracted terminal identifier and multicast group address is not registered in the multicast participation information state table, the IGMP
IGMPプロキシ処理部12は、抽出した端末識別子および認証情報テーブル142に基づいてVLAN識別子を選択する(ステップS204)。具体的には、IGMPプロキシ処理部12は、抽出した端末識別子を検索キーとして認証情報テーブル142の端末情報に登録されている端末識別子を検索し、検索キーと一致する端末識別子に対応付けて認証情報テーブル142のVLAN情報に登録されているVLAN識別子を選択する。
The IGMP
IGMPプロキシ処理部12は、選択したVLAN識別子と、マルチキャスト参加要求から抽出した端末識別子およびマルチキャストグループアドレスをマルチキャストルーティングテーブル144に登録する(ステップS205)。具体的には、IGMPプロキシ処理部12は、選択したVLAN識別子およびマルチキャストグループアドレスを検索キーとして、マルチキャストルーティングテーブル144のVLAN情報および宛先マルチキャストグループ情報を検索する。検索キーと一致するVLAN識別子およびマルチキャストグループアドレスを検出した場合、IGMPプロキシ処理部12は、検出したVLAN識別子およびマルチキャストグループアドレスが登録されているVLAN情報および宛先マルチキャストグループ情報に対応付けられているルート情報にマルチキャスト参加要求から抽出した端末識別子を追加する。検索キーと一致するVLAN識別子およびマルチキャストグループアドレスが検出することができなかった場合、IGMPプロキシ処理部12は、VLAN情報に選択したVLAN識別子を登録し、宛先マルチキャストグループ情報にマルチキャスト参加要求から抽出したマルチキャストグループアドレスを登録し、ルート情報にマルチキャスト参加要求から抽出した端末識別子を登録する。
The IGMP
IGMPプロキシ処理部12は、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の登録処理を終了した後に、IGMPホストの機能として、図示していないWAN5側に接続されたルータとの間でIGMP通信を行う。具体的には、WAN5を介して受信したマルチキャストグループ問合せ要求に対して、当該WAN5が示すVLAN51−1〜51−3に関して保持するマルチキャスト参加状態情報を参照して、マルチキャストグループ問合せ内容に合致するマルチキャストグループ参加要求を送信する。
After completing the registration process of the multicast participation state information table 143 and the multicast routing table 144, the IGMP
つぎに、図11のフローチャートを参照して、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理の動作について説明する。ゲートウェイ装置1のIGMPプロキシ処理部12は、IGMP通信として、マルチキャストグループ問い合せ要求(IGMP Query メッセージ)をLAN3側の通信端末31−1〜31−3に送信する。マルチキャストグループ問い合せ要求を受信すると、マルチキャストグループから離脱する通信端末31−1〜31−3は、端末識別子および離脱するマルチキャストグループのマルチキャストグループアドレスを含むマルチキャスト離脱要求(IGMP Leave メッセージ)を送信する。
Next, with reference to the flowchart of FIG. 11, the operation of the deletion process of the multicast participation state information table 143 and the multicast routing table 144 will be described. The IGMP
ゲートウェイ装置1のIGMPプロキシ処理部12は、マルチキャスト離脱要求を受信すると(ステップS300)、受信したマルチキャスト離脱要求から端末識別子およびマルチキャストグループアドレスを抽出する(ステップS301)。
When receiving the multicast leave request (step S300), the IGMP
IGMPプロキシ処理部12は、抽出した端末識別子およびマルチキャストグループアドレスの組をマルチキャスト参加状態情報テーブル143から削除する(ステップS302)。IGMPプロキシ処理部12は、抽出したマルチキャストアドレスに対応付けてマルチキャストルーティングテーブル144に登録されている端末識別子に関する情報を削除する(ステップS303)。
The IGMP
具体的には、IGMPプロキシ処理部12は、抽出した(マルチキャストグループ参加状態情報テーブルから削除した)マルチキャストグループアドレスを検索キーとして、マルチキャストルーティングテーブル144の宛先マルチキャストグループ情報を検索し、検索キーと一致するマルチキャストグループアドレスを抽出する。IGMPプロキシ処理部12は、マルチキャストグループ参加状態情報テーブルから削除した端末識別子を抽出したマルチキャストグループに対応付けられているルート情報から削除する。ルート情報に他の端末識別子が登録されている場合、IGMPプロキシ処理部12は、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を終了する。
Specifically, the IGMP
ルート情報に他の端末識別子が登録されていない場合、IGMPプロキシ処理部12は、削除した端末識別子が登録されているルーと情報に対応付けられている宛先マルチキャストグループ情報に登録されているマルチキャストグループアドレスおよびVLAN情報に登録されているVLAN識別子を削除して、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を終了する。
When no other terminal identifier is registered in the route information, the IGMP
IGMPプロキシ処理部12は、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を終了した後に、IGMPホストの機能として、図示していないWAN5側に接続されたルータとの間でIGMP通信を行う。具体的には、WAN5を介して受信したマルチキャストグループ問合せ要求に対して、当該WAN5が示すVLAN51−1〜51−3に関して保持するマルチキャスト参加状態情報を参照して、マルチキャストグループ問合せ内容に合一するマルチキャストグループ離脱要求を送信する。
The IGMP
なお、上述したマルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理は、上述した認証処理部11からの抹消指示によっても実行される。この場合、IGMPプロキシ処理部12は、抹消指示に含まれる端末識別子を検索キーとしてマルチキャスト参加状態情報テーブル143の端末情報を検索して、検索キーと一致する端末情報に対応付けられている宛先マルチキャストグループ情報を削除するとともに、削除したマルチキャストグループアドレスおよび抹消処理に含まれる端末識別子を用いてマルチキャストルーティングテーブル144を更新するようにすればよい。
Note that the above-described deletion processing of the multicast participation state information table 143 and the multicast routing table 144 is also executed by a deletion instruction from the authentication processing unit 11 described above. In this case, the IGMP
つぎに、図12のフローチャートを参照して、IPパケットの転送処理の動作について説明する。なお、ルーティングテーブル145は、一般的なルータの機能によって予め作成されているものとする。ルーティング処理部13は、ポート15−1〜15−4を介してIPパケットを含むフレームを受信すると(ステップS400)、受信したフレームがタグ付きレイヤ2フレームであるか否かを判定する(ステップS401)。受信したフレームがタグ付きレイヤ2フレームの場合、ルーティング処理部13は、インタフェーステーブル146に基づいてVLAN51−1〜51−3を選択する(ステップS402)。具体的には、タグ付きレイヤ2フレームのVLANタグから受信インタフェースであるVLAN識別子を抽出し、抽出したVLAN識別子を検索キーとしてインタフェーステーブル146の受信インタフェースを検索し、検索キーと一致する受信インタフェースに対応付けられてインタフェーステーブル146のユーザネットワーク情報に登録されているVLAN識別子を選択する。
Next, the operation of IP packet transfer processing will be described with reference to the flowchart of FIG. Note that the routing table 145 is created in advance by a general router function. When receiving a frame including an IP packet via the ports 15-1 to 15-4 (step S400), the
一方、受信したフレームがレイヤ2フレームの場合、ルーティング処理部13は、認証情報テーブル142に基づいてVLANを選択する(ステップS403)。具体的には、レイヤ2フレームに含まれる端末識別子を検索キーとして認証情報テーブル142の端末情報を検索し、検索キーと一致する端末情報に対応付けて認証情報テーブル142のVLAN情報に登録されているVLAN識別子を選択する。
On the other hand, when the received frame is a
VLAN識別子を選択した後、ルーティング処理部13は、受信したフレームのIPヘッダの送信先IPアドレスに設定されているIPアドレスがマルチキャストグループアドレスであるか否かを判定する(ステップS404)。送信先IPアドレスに設定されているIPアドレスがマルチキャストアドレスである場合、ルーティング処理部13は、マルチキャストルーティングテーブル144およびポートテーブル147に基づいてIPパケットの送信先を選択してIPパケットを転送する(ステップS405)。
After selecting the VLAN identifier, the
具体的には、ルーティング処理部13は、インタフェーステーブル146または認証情報テーブル142を用いて選択したVLAN識別子、およびIPヘッダの送信先IPアドレスに設定されているIPアドレス(マルチキャストグループアドレス)の組を検索キーとして、マルチキャストルーティングテーブル144のVLAN情報および宛先マルチキャストグループ情報を検索し、検索キーと一致するVLAN情報および宛先マルチキャストグループ情報に対応付けてマルチキャストルーティングテーブル144のルート情報に登録されている端末識別子を取得する。ルーティング処理部13は、取得した端末識別子を検索キーとしてポートテーブル147の接続情報を検索して端末識別子が示す通信端末31−1〜31−3を収容しているポート15−1〜15−3を示すポート識別子を選択する。ルーティング処理部13は、IPヘッダ中の生存時間の減算、チェックサム再計算などの一般的なルータのパケット転送処理によってIPパケットを含むレイヤ2フレームを生成し、生成したレイヤ2フレームを選択したポート識別子が示すポート15−1〜15−3に送信する。
Specifically, the
一方、送信先IPアドレスに設定されているIPアドレスがマルチキャストアドレスではない場合、ルーティング処理部13は、ルーティングテーブル145およびポートテーブル147に基づいてIPパケットの送信先を選択してIPパケットを転送する(ステップS406)。
On the other hand, when the IP address set as the destination IP address is not a multicast address, the
具体的には、ルーティング処理部13は、インタフェーステーブル146または認証情報テーブル142を用いて選択したVLAN識別子、およびIPヘッダの送信先IPアドレスに設定されているIPアドレス(IPプリフィックス)の組を検索キーとしてルーティングテーブル145のVLAN情報および宛先IPプリフィックス情報を検索し、検索キーと一致するVLAN情報および宛先プリフィックス情報に対応付けてルーティングテーブル145のルート情報に登録されているVLAN識別子や通信端末31−1〜31−3のMACアドレス、通信端末31−1〜31−3を収容するポート識別子などの送信先の識別情報を取得する。ルーティング処理部13は、宛先IPプリフィックス情報の検索においては、最長一致検索を行う。
Specifically, the
送信先の識別情報が、自身を示す場合には、ルーティング処理部13は、IPパケットを送信することなく当該IPパケットのデータに基づいた処理を実行する。送信先の識別情報が通信端末31−1〜31−3を示す場合、ルーティング処理部13は、IPヘッダ中の生存時間の減算、チェックサム再計算などの一般的なルータのパケット転送処理によってIPパケットを含むレイヤ2フレームを生成する。送信先の識別情報がWAN5側を示す場合、ルーティング処理部13は、チェックサム再計算などの一般的なルータのパケット転送処理によってIPパケットを含むタグ付きレイヤ2フレームを生成する。タグ付きレイヤ2フレームのVLANタグには、認証情報テーブル142を用いて選択したVLAN識別子を設定する。ルーティング処理部13は、送信先の識別情報がポート識別子の場合には、ポート識別子が示すポート15−1〜15−4に生成したレイヤ2フレームまたはタグ付きレイヤ2フレームを送信し、送信先の識別情報がポート識別子ではない場合には、送信先の識別情報を検索キーとしてポートテーブル147の接続情報を検索してポート識別子を選択し、選択したポート識別子が示すポート15−1〜15−4に生成したレイヤ2フレームまたはタグ付きレイヤ2フレームを送信する。
When the identification information of the transmission destination indicates itself, the
以上説明したように、この実施の形態1においては、通信端末31−1〜31−3との接続が認証された仮想ネットワークであるVLAN51−1〜51−3およびマルチキャストグループとに対応付けて、VLAN51−1〜51−3において当該マルチキャストグループの物理的、または論理的なインタフェースであるルート情報が登録されるマルチキャストルーティングテーブ144を備え、VLAN51−1〜51−3が構築されるWAN5からのマルチキャストのIPパケットを転送する場合、マルチキャストのIPアドレスを受信したVLAN51−1〜51−3、マルチキャストのIPパケットのマルチキャストグループアドレス、およびマルチキャストルーティングテーブル144に基づいてマルチキャストのIPパケットの送信先を選択するようにしているため、マルチキャストグループに参加している通信端末31−1〜31−3に対して、当該通信端末31−1〜31−3と接続が認証されたVLAN51−1〜51−3からのマルチキャストのIPパケットのみを転送することを可能にし、通信システムのセキュリティを向上することができる。 As described above, in the first embodiment, the VLANs 51-1 to 51-3 and the multicast groups, which are virtual networks for which connections with the communication terminals 31-1 to 31-3 are authenticated, are associated with each other. A multicast from the WAN 5 in which the VLANs 51-1 to 51-3 are provided with a multicast routing table 144 in which route information that is a physical or logical interface of the multicast group is registered in the VLANs 51-1 to 51-3. When the IP packet is transferred, the multicast IP packet is based on the VLANs 51-1 to 51-3 that have received the multicast IP address, the multicast group address of the multicast IP packet, and the multicast routing table 144. Since the transmission destination is selected, the VLAN 51-1 whose connection with the communication terminals 31-1 to 31-3 is authenticated with respect to the communication terminals 31-1 to 31-3 participating in the multicast group. It is possible to transfer only the multicast IP packets from ˜51-3, and the security of the communication system can be improved.
また、この実施の形態1においては、VLAN51−1〜51−3が構築されるWAN5からのマルチキャストのIPパケットを転送する場合、マルチキャストのIPアドレスを受信したVLAN51−1〜51−3、マルチキャストのIPパケットのマルチキャストグループアドレス、およびマルチキャストルーティングテーブル144に基づいてマルチキャストのIPパケットの送信先を選択するようにしているため、LAN3側の通信端末31−1〜31−3がマルチキャストのIPパケットを誤って受信することを防止することができるとともに、不要なIPパケットを転送するとがなくなり、LAN3におけるマルチキャストの通信によるトラフィックの増加を抑制することができ、通信システムとしての性能を向上することができる。
In the first embodiment, when a multicast IP packet is transferred from the WAN 5 in which the VLANs 51-1 to 51-3 are constructed, the VLANs 51-1 to 51-3 that have received the multicast IP address, Since the destination of the multicast IP packet is selected based on the multicast group address of the IP packet and the multicast routing table 144, the communication terminals 31-1 to 31-3 on the
なお、この実施の形態1においては、IPパケットの転送先を選択する際に用いるマルチキャストルーティングテーブル144およびルーティングテーブル145のルート情報に、端末識別子としてMACアドレスまたはIPアドレスを用いたため、端末識別子が示す通信端末31−1〜31−3や、VLAN識別子が示すVLAN51−1〜51−3を収容するポート15−1〜15−4を選択するために記憶部14にポートテーブル147を記憶させるようにしたが、マルチキャストルーティングテーブル144およびルーティングテーブル145のルート情報にポート識別子を用いた場合には、IPパケットを送信するポート15−1〜15−4を認識することができるので、ポートテーブル147は不要となる。
In the first embodiment, since the MAC address or the IP address is used as the terminal identifier in the routing information of the multicast routing table 144 and the routing table 145 used when selecting the forwarding destination of the IP packet, the terminal identifier indicates The port table 147 is stored in the
また、この実施の形態1においては、マルチキャストルーティングテーブル144のルート情報には複数の通信端末31−1〜31−3の端末識別子が登録可能であること、また、宛先マルチキャストグループ情報に登録されるマルチキャストグループアドレスが必ずしも最長一致検索を要さないことから、マルチキャストルーティングテーブル144とルーティングテーブル145とを分離したが、IPアドレス体系においてマルチキャストグループアドレスとその他のアドレスが分離されているので、必ずしもマルチキャストルーティングテーブル144とルーティングテーブル145とを分離する必要はなく、1つのテーブルとしてもかまわない。 In the first embodiment, the terminal information of the plurality of communication terminals 31-1 to 31-3 can be registered in the route information of the multicast routing table 144, and is registered in the destination multicast group information. Since the multicast group address does not necessarily require the longest match search, the multicast routing table 144 and the routing table 145 are separated. However, because the multicast group address and other addresses are separated in the IP address system, the multicast routing table is not necessarily multicast routing. The table 144 and the routing table 145 do not need to be separated, and may be a single table.
実施の形態2.
図13を用いてこの発明の実施の形態2を説明する。一般的なゲートウェイ装置には、複数のインタフェース(ポート)をレイヤ2で接続し、レイヤ3においては、当該複数のポートが単一であるように扱うブリッジ接続機能を有するものがある。この実施の形態2では、ブリッジ接続機能を有するゲートウェイ装置に、本発明を適用する場合について説明する。
A second embodiment of the present invention will be described with reference to FIG. Some typical gateway apparatuses have a bridge connection function in which a plurality of interfaces (ports) are connected at
図13は、この発明における実施の形態2のネットワーク中継装置であるゲートウェイ装置の構成、およびゲートウェイ装置が適用される通信システムの構成を示す図である。図13に示した通信システムは、先の図1に示した実施の形態1の通信システムのゲートウェイ装置1の代わりに、ゲートウェイ装置1aを備えている。ゲートウェイ装置1aは、ゲートウェイ装置1のIGMPプロキシ処理部12の代わりにIGMPプロキシ処理部12aを備え、さらにブリッジ16が追加されている。なお、図1に示した通信システムおよびゲートウェイ装置1と同じ機能を持つ構成部分には同一符号を付し、重複する説明は省略する。
FIG. 13 is a diagram showing a configuration of a gateway device that is a network relay device according to
ゲートウェイ装置1aは、LAN3側のインタフェースであるポート15−1〜15−3をブリッジ接続する構成であり、ブリッジ16が、ポート15−1〜15−3をレイヤ2で接続し、ポート15−1〜15−3を介して送受信するフレームのレイヤ2に関する処理を行なう。これにより、レイヤ3において、ゲートウェイ装置1a内の認証処理部11、IGMPプロキシ処理部12a、およびルーティング処理部13は、ポート15−1〜15−3を識別することなく単一のインタフェース(ポート)として扱うことになる。
The
IGMPプロキシ処理部12aは、IGMPプロキシ処理部12の機能に加えて、レイヤ3通信であるIGMP通信においてIGMPメッセージの受信インタフェースを特定するためのスヌーピング機能を備えている。ゲートウェイ装置1aは、ブリッジ16によってポート15−1〜15−3がレイヤ2によって接続され、レイヤ3通信であるIGMP通信(LAN3側の通信端末31−1〜31−3に対するマルチキャストグループ問い合わせ要求の送信と、マルチキャストグループ参加要求およびマルチキャストグループ離脱要求の受信)においては、ポート15−1〜15−3を単一のインタフェースとなる。そのため、IGMPプロキシ処理部12aは、スヌーピング機能によってIGMPメッセージのブリッジにおける受信インタフェースおよびLAN3側の通信端末31−1〜31−3が参加するマルチキャストグループの情報を収集する。
In addition to the function of the IGMP
なお、この実施の形態2のゲートウェイ装置1aの動作は、先の実施の形態1のゲートウェイ装置1とほぼ同じであり、相違点は、IGMPメッセージの受信インタフェースをスヌーピング機能によって特定することだけであるので、ここではその動作の説明を省略する。
The operation of the
このように、この実施の形態2においては、IGMPプロキシ処理部12が、ブリッジ16内のレイヤ2接続をスヌーピングして、マルチキャスト参加要求および/またはマルチキャスト離脱要求を送信した通信端末31−1〜31−3およびマルチキャストグループを抽出するようにしているため、LAN3側の通信端末31−1〜31−3を収容するポート15−1〜15−3をレイヤ2で接続し、レイヤ3においては、ポート15−1〜15−3が単一のインタフェースとして扱うブリッジ機能を有する場合でも、マルチキャストグループに参加している通信端末31−1〜31−3に対して、当該通信端末31−1〜31−3と接続が認証されたVLAN51−1〜51−3からのマルチキャストのIPパケットのみを転送することを可能にし、通信システムのセキュリティを向上することができる。
As described above, in the second embodiment, the IGMP
以上のように、本発明にかかるネットワーク中継装置は、相互接続する異なるネットワークとしてLANとWANを用いた場合に有用であり、特に、LAN側に接続される通信装置を通信装置毎に論理的に分離された異なるWANに接続する通信システムに適している。 As described above, the network relay device according to the present invention is useful when a LAN and a WAN are used as different networks to be interconnected. In particular, a communication device connected to the LAN side is logically connected to each communication device. It is suitable for a communication system connected to different separated WANs.
1,1a ゲートウェイ装置
3 LAN
5 WAN
11 認証処理部
12 IGMPプロキシ処理部
13 ルーティング処理部
14 記憶部
15−1,15−2,15−3,15−4 ポート
31−1,31−2,31−3 通信端末
51−1,51−2,51−3 VLAN
141 接続情報テーブル
142 認証情報テーブル
143 マルチキャスト参加状態情報テーブル
144 マルチキャストルーティングテーブル
145 ルーティングテーブル
146 インタフェーステーブル
147 ポートテーブル
1,
5 WAN
DESCRIPTION OF SYMBOLS 11
141 Connection Information Table 142 Authentication Information Table 143 Multicast Participation Status Information Table 144 Multicast Routing Table 145 Routing Table 146 Interface Table 147 Port Table
Claims (6)
前記通信端末に対応付けて、前記認証処理部によって接続が認証された仮想ネットワークが登録される認証情報テーブルと、
前記IPパケットの受信インタフェースと仮想ネットワークとが対応付けて登録されるインタフェーステーブルと、
前記通信端末から、マルチキャストアドレスを含む当該マルチキャストに対応するマルチキャストグループへの参加を要求するマルチキャスト参加登録を受信した場合に、前記認証テーブルを検索して前記マルチキャスト参加登録の送信元の前記通信端末に対応する仮想ネットワークを抽出し、当該通信端末と、前記マルチキャストアドレスと、抽出した前記仮想ネットワークと、を対応付けて保持するためのマルチキャストルーティングテーブルを生成するIGMPプロキシ処理部と、
前記第2のネットワークから受信したIPパケットがマルチキャストのIPパケットの場合には、当該IPパケットに含まれる受信インタフェースの識別情報と前記インタフェーステーブルとに基づいて、当該受信インタフェースに対応する仮想ネットワークを取得し、取得した仮想ネットワークと、受信したIPパケットに含まれるマルチキャストアドレスと、に基づいて前記マルチキャストルーティングテーブルを検索し、検索して得られた前記通信端末へ当該IPパケットを転送するルーティング処理部と、
を備えることを特徴とするネットワーク中継装置。 The communication terminal is disposed between a first network to which one or a plurality of communication terminals are connected and a second network in which a plurality of virtual networks are constructed, and the communication terminal is connected to at least one of the plurality of virtual networks. the an authentication processing section for authenticating, on the basis of the authentication result by the authentication processing unit, the network relay device that connects said communication terminal in said virtual network,
An authentication information table in which a virtual network whose connection is authenticated by the authentication processing unit is registered in association with the communication terminal;
An interface table in which a reception interface of the IP packet and a virtual network are registered in association with each other ;
When a multicast participation registration requesting participation in a multicast group corresponding to the multicast including a multicast address is received from the communication terminal, the authentication table is searched and the communication terminal that is the transmission source of the multicast participation registration is searched. An IGMP proxy processing unit that extracts a corresponding virtual network and generates a multicast routing table for associating and holding the communication terminal, the multicast address, and the extracted virtual network;
When the IP packet received from the second network is a multicast IP packet, a virtual network corresponding to the receiving interface is obtained based on the identification information of the receiving interface included in the IP packet and the interface table. A routing processing unit that searches the multicast routing table based on the acquired virtual network and a multicast address included in the received IP packet, and forwards the IP packet to the communication terminal obtained by the search ; ,
A network relay device comprising:
を特徴とする請求項1に記載のネットワーク中継装置。 When receiving a multicast leaving request including a multicast group leaving from the communication terminal, extract a virtual network registered in the authentication information table in association with the communication terminal that transmitted the multicast participation request, from the multicast routing table, Deleting the extracted virtual network and the communication terminal that has transmitted the multicast join request registered in association with the multicast group included in the multicast leave request;
The network relay device according to claim 1 .
前記通信端末からの参加要求によって前記仮想ネットワークに接続することを認証した後に、認証した通信端末に対応付けて接続を認証した仮想ネットワークを前記認証情報テーブルに登録すること、
を特徴とする請求項1または2に記載のネットワーク中継装置。 The authentication processing unit
After authenticating the connection to the virtual network by a participation request from the communication terminal, registering the virtual network whose connection is authenticated in association with the authenticated communication terminal in the authentication information table;
The network relay device according to claim 1 or 2 .
前記通信端末からの離脱要求によって、前記認証情報テーブルから、前記離脱要求を送信した通信端末と当該端末に対応付けられている仮想ネットワークとを削除すること、
を特徴とする請求項1〜3の何れか1つに記載のネットワーク中継装置。 The authentication processing unit
Deleting a communication terminal that has transmitted the withdrawal request and a virtual network associated with the terminal from the authentication information table in response to a withdrawal request from the communication terminal;
The network relay device according to any one of claims 1 to 3 .
前記ブリッジ内のレイヤ2接続をスヌーピングして、前記マルチキャスト参加要求および/または前記マルチキャスト離脱要求を送信した通信端末およびマルチキャストグループを抽出すること、
を特徴とする請求項5に記載のネットワーク中継装置。 The IGMP proxy processing unit
Snooping a Layer 2 connection in the bridge to extract a communication terminal and a multicast group that transmitted the multicast join request and / or the multicast leave request;
The network relay device according to claim 5 .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005373031A JP4615435B2 (en) | 2005-12-26 | 2005-12-26 | Network relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005373031A JP4615435B2 (en) | 2005-12-26 | 2005-12-26 | Network relay device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007174583A JP2007174583A (en) | 2007-07-05 |
JP4615435B2 true JP4615435B2 (en) | 2011-01-19 |
Family
ID=38300505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005373031A Expired - Fee Related JP4615435B2 (en) | 2005-12-26 | 2005-12-26 | Network relay device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4615435B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5465328B2 (en) * | 2010-06-28 | 2014-04-09 | 株式会社日立国際電気 | Wireless communication apparatus and wireless communication method |
US10412570B2 (en) | 2016-02-29 | 2019-09-10 | Google Llc | Broadcasting device status |
KR101959686B1 (en) * | 2018-10-01 | 2019-03-18 | 한국수자원공사 | L2 switch for network security, and remote supervisory system using the same |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001345864A (en) * | 2000-06-02 | 2001-12-14 | Hitachi Ltd | Router device, packet transfer control method, and setting method for vpn identification information |
JP2005051650A (en) * | 2003-07-31 | 2005-02-24 | Nippon Telegr & Teleph Corp <Ntt> | Table search instrument |
-
2005
- 2005-12-26 JP JP2005373031A patent/JP4615435B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001345864A (en) * | 2000-06-02 | 2001-12-14 | Hitachi Ltd | Router device, packet transfer control method, and setting method for vpn identification information |
JP2005051650A (en) * | 2003-07-31 | 2005-02-24 | Nippon Telegr & Teleph Corp <Ntt> | Table search instrument |
Also Published As
Publication number | Publication date |
---|---|
JP2007174583A (en) | 2007-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8050267B2 (en) | Simple virtual private network for small local area networks | |
US7656872B2 (en) | Packet forwarding apparatus and communication network suitable for wide area Ethernet service | |
US7733859B2 (en) | Apparatus and method for packet forwarding in layer 2 network | |
US8077732B2 (en) | Techniques for inserting internet protocol services in a broadband access network | |
JP4164352B2 (en) | Packet transfer device capable of accommodating mobile terminals | |
JP4727126B2 (en) | Providing secure network access for short-range wireless computing devices | |
JP5327832B2 (en) | Packet communication method using node identifier and position indicator | |
US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
US8705549B2 (en) | Structure and implementation of universal virtual private networks | |
US20040213237A1 (en) | Network authentication apparatus and network authentication system | |
EP1858205A1 (en) | Tunneling device, tunnel frame sorting method used for the device, and its program | |
JPWO2005027438A1 (en) | Packet relay device | |
WO2011069399A1 (en) | Address mapping method and access service node | |
US20090225660A1 (en) | Communication device and operation management method | |
JP4852379B2 (en) | Packet communication device | |
JP4925130B2 (en) | Communication control method and system | |
JP4615435B2 (en) | Network relay device | |
JP4344336B2 (en) | Multihoming authentication communication system, multihoming authentication communication method, and management server | |
JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
JP2009267987A (en) | Station-side apparatus, pon system and home gateway device | |
JP5350333B2 (en) | Packet relay apparatus and network system | |
JP2005057693A (en) | Network virtualizing system | |
WO2008083572A1 (en) | A method for transfering the ip transmission session and the equipment whereto | |
JP2006211457A (en) | Converter device and method of controlling communication | |
WO2023284675A1 (en) | Forwarding table lookup method and apparatus, and storage medium and electronic apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080623 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100614 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100806 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101019 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101020 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131029 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |